Der Europäische Gerichtshof (EuGH) hat am 5. Juni 2018 (C-210/16) geurteilt, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten auf der Fanpage verantwortlich ist. Zwar betrifft die Entscheidung des EuGH die Auslegung der nicht mehr geltenden EU-Datenschutzrichtlinie (DSRL). Dennoch dürfte die Wertung des EuGH sinngemäß auf die seit dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO) übertragbar sein, weil die in Rede stehende Regelung zur gemeinsamen Verantwortung beinahe identisch aus Art. 2 Buchst. d DSRL in Art. 4 Nr. 7 DSGVO übernommen worden ist.

Der Entscheidung lag ein Rechtsstreit zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein zugrunde. Das ULD hatte die Fanpage der Wirtschaftsakademie als datenschutzwidrig beanstandet, weil auf dieser eine nicht deaktivierbare Facebook-Funktion implementiert war. Über diese Funktion erhielt die Wirtschaftsakademie von Facebook anonymisierte, statistische Daten zu Besuchern der Fanpage, ohne dass die Besucher hierüber ausreichend informiert wurden.

Abweichend von der ersten und zweiten Verwaltungsgerichtsinstanz, welche die Wirtschaftsakademie nicht als datenschutzrechtlich verantwortlich und zuständig ansahen, stellte der vom Bundesverwaltungsgericht im Rahmen eines Vorlageverfahrens (Art. 267 AEUV) angerufene EuGH eine gemeinsame datenschutzrechtliche Verantwortlichkeit der Wirtschaftsakademie und Facebook fest. Der EuGH begründete dies damit, dass die Wirtschaftsakademie wesentlich zur Verarbeitung der Besucherdaten beitrage, indem sie für ihre Fanpage die Kriterien festlege, nach denen die Statistiken erstellt und von Facebook ausgewertet werden. Nicht von Bedeutung sei dabei, dass die Besucherstatistiken ausschließlich anonymisiert an die Wirtschaftsakademie weitergegeben würden.

Praxishinweis: Die EuGH-Entscheidung zeigt, dass je nach dem Grad der Kontrolle über den Zweck und die Mittel der Datenverarbeitung neben dem Anbieter des sozialen Netzwerks auch die Betreiber von darauf vorgehaltenen Fanpages datenschutzrechtlich (mit-)verantwortlich sein können. Infolgedessen empfiehlt es sich für die Betreiber von Fanpages genau zu überprüfen, ob sie ggf. unabhängig vom Anbieter des sozialen Netzwerks eine eigene Datenschutzerklärung auf ihrer Fanpage bereitzuhalten haben, um ihren datenschutzrechtlichen Informationspflichten zu entsprechen.